CH azonosító
CH-11076Angol cím
Microsoft Office Insecure Library Loading and Token Disclosure Two VulnerabilitiesFelfedezés dátuma
2014.05.12.Súlyosság
MagasÉrintett rendszerek
MicrosoftOffice 2007
Office 2010
Office 2013 RT
Érintett verziók
Microsoft Office 2007
Microsoft Office 2010
Microsoft Office 2013
Microsoft Office 2013 RT
Összefoglaló
A Microsoft Office két sérülékenységét jelentették, amelyeket kihasználva a támadók bizalmas információkat szerezhetnek meg és feltörhetik a felhasználó rendszerét.
Leírás
- A sérülékenységet az okozza, hogy a Grammar Checker feature for Chinese (Simplified) nem biztonságos módon tölt be függvénykönyvtárakat. Ez kihasználható tetszőleges könyvtár betöltésére, ha a felhasználó megnyit egy Office fájlt (pl.: docx) egy távoli WebDAV vagy SMB megosztásról.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, de feltételezi a Grammar Checker for Chinese (Simplified) engedélyezettségét. - Bizonyos válasz kezelése közben jelentkező hiba kihasználható egy Microsoft online szolgáltatás aktuális felhasználó hitelesítéséhez tartozó hozzáférési token megszerzésére és azt követően a felhasználó megszemélyesítésére egy ún. “replay” támadásban.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Unspecified (Nem részletezett)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: technet.microsoft.com
CVE-2014-1756 - NVD CVE-2014-1756
CVE-2014-1808 - NVD CVE-2014-1808
SECUNIA 58136